Curriculum e GDPR: tutto quello che c'è da sapere

Che cosa si intende per dati personali?

Quando si parla di dati personali ci si riferisce alle informazioni che identificano una persona e che possono fornire dettagli sulle sue caratteristiche, le sue abitudini, il suo stile di vita, la sua situazione economica, etc. Possiamo dividere i dati personali in tre macro categorie:

• Dati identificativi: le informazioni di base che consentono di identificare direttamente persone fisiche, persone giuridiche, enti o associazioni.
• Dati sensibili: le informazioni che possono rivelare questioni più private relative all'individuo, tra cui per esempio l'origine razziale, le convinzioni religiose, la propria vita sessuale, etc;
• Dati giuridici: le informazioni che possono rivelare l’esistenza di provvedimenti giudiziari soggetti ad iscrizione nel casellario giudiziale e similari.

Autorizzazione alla Privacy e CV: Le Leggi di Riferimento in Italia

A livello giuridico, in Italia sono due le leggi che gestiscono la questione della privacy individuale e quindi anche la gestione dei dati presenti su un cv.

Il Decreto Legislativo 196 del 30 giugno 2003, conosciuto più comunemente come Legge sulla Privacy o Decreto Privacy, e il GDPR 2016/679, il Regolamento Europeo sulla Protezione Dati, conosciuto più comunemente come GDPR.

Il GDPR 2016/679 è stato recepito come legge in Italia dal Decreto Legislativo 101/2018 che viene spesso citato in sostituizione del GDPR per una migliore comprensione a livello nazionale, dal momento che comprende anche elementi assorbiti da precedenti leggi.

Che cosa bisogna inserire all’interno del CV per essere conformi alla legge?

Prima dell'entrata in vigore del Regolamento 2016/679 era consuetudine aggiungere su ogni documento "formale" in cui erano presenti dati sensibili, e dunque anche sul curriculum vitae, la dicitura

"autorizzo al trattamento dei dati personali ai sensi del D.Lgs. 196/2003”

anche nella forma

"il sottoscritto autorizza al trattamento dei dati personali ai sensi del D.Lgs. 196/2003”.

In verità, però, anche questa dicitura era superflua dal momento che il vecchio Codice della Privacy, secondo il Decreto Legislativo 196/2003, all’art 24, comma 1 indicava, tra i casi nei quali poteva essere effettuato il trattamento senza consenso, tutti quei “dati contenuti nei curricula nei casi di cui all’articolo 13, comma 5 bis” riferendosi alla trasmissione spontanea dei curriculum effettuata dagli interessati per essere considerati per un rapporto di lavoro.

Lo stesso decreto all’articolo 26, comma 3, lett. b-bis, prevedeva che il consenso non era necessario neanche per i dati sensibili eventualmente contenuti nel CV.

Nel 2011 con la legge 70 le cose sono state ulteriormente semplificate con la specifica relativa alla possibilità per il datore di lavoro di ricevere i curricula senza esplicita dichiarazione di trattamento al consenso dei dati, premurandosi di "fornire all’interessato, anche oralmente, un’informativa breve".

Il GDPR non modifica questa situazione per cui la formula che veniva usata abitualmente è diventata superflua ufficialmente nel 2011 e continua ad essere superflua e scorretta anche oggi che è in vigore il Regolamento Europeo.

Ribadiamo: il candidato non deve inserire alcuna dicitura in calce al proprio CV. E' dunque scorretta la richiesta da parte di un potenziale datore di lavoro (ma anche di un recruiter) di apporla in calce.

Datori di lavoro, recruiter e GDPR

A chi spetta dunque la comunicazione sulla gestione dei dati personali di un candidato?

Il datore di lavoro non deve richiedere il consenso per il trattamento dei dati personali dei candidati ma deve ottemperare a tutta una serie di regole che sono obbligatorie perché stabilite a livello legislativo:

• Il datore di lavoro deve fornire un’informativa ex art. 13 al candidato, dove spiegare come e perché avviene il trattamento dei suoi dati personali e che va consegnata o inviata al candidato in base alle circostanze, ma comunque prima o contestualmente all'inizio del rapporto, fosse anche solo in primo contatto conoscitivo post-invio cv;
• Nel caso in cui il datore di lavoro o un recruiter per sui conto pubblichi un annuncio per segnalare l’apertura di una posizione è necessario permettere ai candidati la visualizzazione dell'informativa ex art. 13 all'atto della candidatura. Questo vale anche nel caso sul sito dell'azienda ci sia una sezione Lavora con Noi.

In base al GDPR, inoltre, un datore di lavoro può richiedere l’invio di un CV “privato dei dati sensibili identificati al Regolamento UE 2016/679 (General Data Protection Regulation – GDPR)” avvalendosi del fatto che riceverne uno con autorizzazione è formalmente scorretto in quanto il trattamento di dati sensibili secondo l'articolo 9 del GDPR non può essere effettuato sulla base di misure precontrattuali (art. 6, par. 1, lett. b).

Inserire o no l'autorizzazione al trattamento dei dati personali sul cv?

Posto che non è assolutamente necessario farlo, è superfluo e molto spesso anche scorretto (quando si invia una candidatura spontanea e non si hanno informazioni su come l'azienda tratta i dati personali con cui entra in contatto), è consigliabile o no inserire l'autorizzazione al trattamento dei dati personali sul cv?

A patto che il documento non ne risenta, inserire la dicitura sul curriculum non ne compromette l'efficacia ma allo stesso tempo essendo completamente superflua ciascun candidato può scegliere liberamente di inserirla o meno.

Se decidi di inserirla, opta per una di queste tre formule e inseriscila in calce al cv, per evitare di intaccarne la fruizione:

• Autorizzo il trattamento dei dati personali presenti nel cv ai sensi del D.Lgs. 101/2018 e del GDPR (Regolamento UE 2016/679).
• Autorizzo il trattamento dei dati personali contenuti nel mio curriculum vitae in base all’art. 13 GDPR 679/16.
• Autorizzo il trattamento dei miei dati personali ai sensi ai sensi del D.Lgs. 101/2018 e dell’art. 13 GDPR (Regolamento UE 2016/679) ai fini della ricerca e selezione del personale.

Riassumendo

La questione dati personali e cv può sembrare complessa ma in realtà non lo è e si può riassumere in due punti essenziali:

• L'azienda deve avere pronta una informativa redatta ai sensi degli articoli 13 e 14 del GDPR da fornire al candidato al primo contatto utile o contestualmente alla candidatura. L'azienda non può mai richiedere la presenza del disclaimer con l'autorizzazione sul cv del candidato;
• Quando invece ti candidi per una posizione di lavoro potrebbe capitarti di ricevere l'informativa in un secondo momento, contestualmente alla candidatura o anche che sia esplicitato che i cv non devono contenere nessuna autorizzazione al trattamento dei dati. In tutti i casi, sul tuo cv da candidato non deve essere mai presente la famosa dicitura "Autorizzo al trattamento dei miei dati personali e sensibili".

Se devi creare il tuo CV, utilizza CVwizard, lo strumento perfetto per creare un curriculum vitae personalizzato per qualsiasi situazione. Con la vasta gamma di modelli di CV disponibili su CVwizard, puoi facilmente selezionare uno dei nostri numerosi modelli e personalizzarlo secondo le tue esigenze. Una volta completato, puoi salvare il tuo CV, scaricarlo e inviarlo via email, in maniera sicura e a norma di legge